Security 是否可以使用硬件设备在服务器上防止浏览器中的人攻击_Security_Man In The Browser

Security 是否可以使用硬件设备在服务器上防止浏览器中的人攻击

security

Security 是否可以使用硬件设备在服务器上防止浏览器中的人攻击,security,man-in-the-browser,Security,Man In The Browser,最近，我发现了一种硬件设备，它可以通过动态更改html DOM元素来防止机器人攻击。详细信息如下所述 htmlinputelementid和name以及formelementaction将在页面发送到客户端之前替换为一些随机字符串。客户端提交后，硬件设备将其值替换为原始值。因此，服务器代码将保持不变，而机器人程序无法使用固定的输入名称id 这是全部的想法，但他们也声称该产品可以解决浏览器中的人攻击 : Shape Security声称向网站添加的代码不会导致用户界面（或其显示方式）的任何明显

最近，我发现了一种硬件设备，它可以通过动态更改html DOM元素来防止机器人攻击。详细信息如下所述

html

input

element

id

和

name

以及

form

element

action

将在页面发送到客户端之前替换为一些随机字符串。客户端提交后，硬件设备将其值替换为原始值。因此，服务器代码将保持不变，而机器人程序无法使用固定的输入名称id

这是全部的想法，但他们也声称该产品可以解决浏览器中的人攻击

Shape Security声称向网站添加的代码不会导致用户界面（或其显示方式）的任何明显延迟，以及它还可以对付其他类型的攻击，例如帐户攻击接管和浏览器中的人。他们注意到他们的方法是有效的因为它可以实时转移攻击，而僵尸网络的代码是仅在安装时更改（以更改其签名）

从理论上讲，有人可以阻止服务器上的浏览器中人攻击吗

没有。显然，受损的客户端可以做任何真正用户可以做的事情

让你的页面更抵制自动化可能是一场更新和对策的军备竞赛。这样的模糊处理最多只能让你的网站变得很烦人，让攻击者觉得它不值得——也就是说，你试图让自己不再是“低垂的果实”

他们注意到，他们的方法之所以有效，是因为它能够实时转移攻击，而僵尸网络的代码只有在安装时才会更改（以更改其签名）

这似乎毫无意义。机器人自然可以更新自己的代码。事实上，银行特洛伊木马通常会自我更新，以应对帐户登录页面的更改。除非该服务包括推送到过滤框的实时更新，以解决这些更新，否则您仍然无法获胜

（作为一项服务，这种自动化军备竞赛将是一个有趣的提议。然而，我会担心新的混淆功能会破坏你的应用程序。例如，想象一下，如果你有自己的客户端脚本依赖于这些名称，链接站点上的noddy表单字段重命名示例会发生什么情况。或者，如果我们的整个网站都是一个客户端单页应用程序，这不会有任何效果。）

我不明白它怎么能做到这一点，因为带有js控制台的人也可以实时工作。除非“浏览器中的人”参考CSRFDear@meagar该问题要求提供一种服务器算法，该算法可以防止MIB，但似乎不太广泛，请重新打开它！或者让我知道如何缩小它的范围。@AlirezaFattahi您的问题邀请开放式讨论，讨论一个软件实现了您问题中未描述的某些技术。您的问题需要独立且负责，无需依赖到第三方页面的链接。@meagar我已更新了更多详细信息